Prowadząc analizy mobile forensics możemy spotkać się z sytuacją uszkodzenia urządzenia. Na dobrą sprawę działające urządzenie nie jest nam do niczego potrzebne, bo przecież interesują nas wyłącznie dane w nim zapisane. W takim wypadku można pokusić się o zrobienie tzw. chip-off, czyli wyizolowanie kości pamięci z układu.

Są dwie metody przeprowadzenia tej operacji. Pierwsza polega na użyciu specjalistycznego urządzenia generującego punktowo stałą temperaturę na płytkę co prowadzi do roztopienia lutowia i umożliwia sprawne odseparowanie chipa. Pełna automatyzacja. Ta metoda może być zastosowana jedynie przez tych specjalistów, którzy mają odpowiedni sprzęt. Cały proces dzieje się szybko, bezpiecznie i nie jest wyzwaniem dlatego nie będziemy tego opisywać w szczegółach. Jeśli jednak wątek Cię zainteresował skontaktuj się z Lab Mediarecovery. Mamy doświadczenie w projektowaniu tego typu stanowisk roboczych i praktycznych szkoleniach z obsługi poszczególnych narzędzi.

W artykule skupimy się natomiast na drugiej z metod. Jest możliwa do realizacji z użyciem podstawowych narzędzi oraz pewnych umiejętności z zakresu elektroniki. Oto lista wymagań:

  • umiejętność lutowania,
  • obsługa boxów serwisowych,
  • wiedza z zakresu elektroniki ze szczególnym uwzględnieniem znajomości częstotliwości pracy podzespołów,
  • obsługa narzędzi mobile forensics.

Chip-off. Zagrożenia.

Z uwagi na fakt, że opisywana metoda opiera się w dużej mierze na „czynniku ludzkim” nie w każdym przypadku, w warunkach poza laboratoryjnych, uda się cały proces przeprowadzić bezpiecznie dla danych. Przecenienie swoich umiejętności, nieostrożność czy drobne błędy w użyciu narzędzi prowadzą najczęściej do dwóch zagrożeń:

  • Przegrzanie chipa – użycie zbyt wysokiej temperatury prowadzi do termalnego uszkodzenia kości, a co za tym idzie delikatna elektronika się poddaje i nie będziemy w stanie dostać się do danych.
  • Niedogrzanie i zbyt duża siła – skończy się wyłamaniem „padów”, za pomocą których chip jest podłączony do układu scalonego. W takim wypadu również nie dostaniemy się do danych.

Nie będziemy ukrywać, że brak doświadczenia w tym zakresie skończy się utratą danych. Proces ten wymaga wielokrotnych ćwiczeń, a i tak zawsze może pójść coś nie tak. Pamiętajmy, że mowa o elementach, których wymiary podajemy w milimetrach więc bardzo łatwo zrobić coś źle.

No i warto dodać, że po chip-off telefon nie będzie się już nadawał do użytku. Przestanie działać. Chyba, że ktoś zdecyduje się na ponowne osadzenie kości pamięci w układzie czyli tzw. reballing. Zatem każdy ze specjalistów przed wykonaniem chip-off musi rozważyć wszelkie za i przeciw, a potem podjąć decyzję. Zawsze też możesz poprosić nas o wsparcie. Prawdopodobieństwo błędu w naszym Lab jest dużo mniejsze. Robiliśmy to dziesiątki razy. Skutecznie.

Chip-off krok po kroku

Na potrzeby tego artykułu, demonstracyjnie, zrobiliśmy chip-off procesora jednak w przypadku kości pamięci całość wygląda dokładnie tak samo. Na etapie boksu serwisowego i narzędzi mobile forensics używamy już kości bo nie dotarlibyśmy z artykułem do szczęśliwego końca 😉

Chip, a w naszym przypadku procesor, umiejscowiony na płytce układu scalonego.

Mediarecovery-Zdjęcie-do-wpisu-1-Chip,-a-w-naszym-przypadku-procesor,-umiejscowiony-na-płytce-układu-scalonego

Podgrzewanie lutowia czyli proces wymagający wielkiej dokładności, jeśli zrobimy to za mocno spalimy chip, jeśli za słabo to próbując go wyciągnąć wyłamiemy „pady”.

Mediarecovery-Zdjęcie-do-wpisu-2-Podgrzewanie-lutowia

Udało się! 😊 Wyszedł gładko.

Mediarecovery-Zdjęcie-do-wpisu-3-Efekt-podgrzania-lutownia

Delikatnie dogrzewamy od spodu żeby pozbyć się nadmiaru lutowia i później lepiej go doczyścić.

Mediarecovery-Zdjęcie-do-wpisu-4-Dogrzewanie-chipa

Czyszczenie układu z nadmiaru lutowia.

Mediarecovery-Zdjęcie-do-wpisu-5-Czyszczenie-układu-z-nadmiaru-lutowania

Kolejny etap czyszczenia układu.

Mediarecovery-Zdjęcie-do-wpisu-6-Doczyszczenie-układu

Odtłuszczamy, doczyszczamy, usuwamy zanieczyszczenia na materiale antystatycznym.

Mediarecovery-Zdjęcie-do-wpisu-7-Odtłuszczanie-układu

Chip gotowy do dalszych prac.

Mediarecovery-Zdjęcie-do-wpisu-8-Chip

Zaczynamy etap analizy forensicowej. W tym momencie używamy już kości pamięci.

Mediarecovery-Zdjęcie-do-wpisu-9-Analiza-forensic-chipa

Chip wędruje do gniazda w adapterze.

Mediarecovery-Zdjęcie-do-wpisu-10-Analiza-forensic-przy-użyciu-adaptera

Box serwisowy w pełnej krasie. Chip siedzi w gnieździe. Zaraz sprawdzimy czy wszystko działa.

Mediarecovery-Zdjęcie-do-wpisu-11-Box-serwisowy

Wygląda na to, że wszystko gra. Widać wyraźnie, że kość pamięci o rozmiarze 7.28GB została wykryta i została nawiązana z nią komunikacja. Zaraz sprawdzimy co możemy z niej wyciągnąć.

Mediarecovery-Zdjęcie-do-wpisu-12-Analiza-forensic-chipa-program-Medusa-znalezienie-artefaktów

Jak widać są foldery, pojedyncze pliki zatem mamy to!

Mediarecovery-Zdjęcie-do-wpisu-13-Analiza-forensic-chipa-program-Medusa

Odpalamy XRY, którego używamy w labie od lat i z czystym sumieniem możemy polecić każdemu specjaliście. Importujemy w nim binarkę odczytanej kości pamięci.

Mediarecovery-Zdjęcie-do-wpisu-14-Analiza-forensic-chipa-XRY

Tworzymy w XRY sprawę zgodnie ze swoimi wymaganiami

Mediarecovery-Zdjęcie-do-wpisu-15-Analiza-forensic-chipa-XRY-okno-dialogowe

Dekodujemy zawartość kości pamięci.

Mediarecovery-Zdjęcie-do-wpisu-16-Dekodowanie-kości-pamięci-chipa-XRY,

Jak widzicie XRY świetnie sobie poradził z zadaniem. 😊

Mediarecovery-Zdjęcie-do-wpisu-17-Ekstrakcja-danych-XRY

A w XAMN zajmiemy się już wyszukiwaniem, analizą i tworzeniem raportu.

Mediarecovery-Zdjęcie-do-wpisu-18-Analiza-zawartości-chipa-XAMN

Chip-off. Podsumowanie.

Jak widać chip-off jest możliwy do zrobienia bez kosztownego sprzętu. Oczywiście pokazana przez nas metoda niesie ze sobą zagrożenia jednak przy odpowiedniej ilości praktyki pozwala osiągnąć zadowalające efekty. Żeby zajmować się tym na poważnie warto poćwiczyć na kościach z telefonów, które nie są dowodem w sprawie. Decyzja o tym, żeby wykonać chip-off w ramach specjalistycznej ekspertyzy na potrzeby dochodzenia lub usługi odzyskiwania danych powinna zapaść po dobrym zastanowieniu. Zawsze też możesz zwrócić się do nas. Chętnie pomożemy, wystarczy, że napiszesz.

Chyba, że wolisz kontakt bardziej bezpośredni. W dowolnym terminie możesz za to odwiedzić nasze biura w Katowicach i Warszawie. Albo zagadać do nas na FB!

Chip-off. Jak się za to zabrać?
5 (100%) 3 oceny